Com cada mes, tornem amb un nou butlletí en el qual coneixerem més detalladament què són les cookies i algunes sancions a les quals s’han enfrontat grans empreses per aquestes.
Amb l’entrada en vigor del Reglament General de Protecció de Dades, de 2016, totes les pàgines webs que recapten informació sobre la navegació dels usuaris han sigut obligades a informar d’això a través de les conegudes cookies. L’incompliment d’això o la falta de detalls pot derivar en sancions econòmiques, des de 2018. Així ho hem pogut veure en casos com el de la famosa xarxa social TikTok que, segons informa TechRadar, s’enfronta a una multa enorme per informació insuficient sobre les cookies. La multa ascendeix a un total de 5 milions d’euros, a conseqüència de la dificultat que es va detectar per a rebutjar l’ús de cookies, considerant que l’acceptació d’aquestes era més senzilla.
Un altre dels exemples més recents i més comentat va ser la sanció que va aplicar l’Agència Espanyola de Protecció de Dades (AEPD), l’any passat 2022 al gegant Google LLC, per cedir dades a tercers sense legitimació i obstaculitzar el dret a la supressió, així ho informa la pròpia AEPD. L’organisme espanyol va detectar dues infraccions greus i va imposar una sanció que suposa un total de 10 milions d’euros, adeqüe a la normativa de protecció de dades personals la comunicació de dades al Projecte Lumen i suprimir totes les dades personals que així hagen sigut sol·licitats i instar aquest últim a fer-ho també.
Un estudi realitzat per l’empresa Avast conclou que el 60% dels espanyols accepta les cookies sense tindre coneixements sobre elles. Per tot això, és important que tothom conega què són les cookies i com funcionen.
Es coneixen com a cookies a xicotets arxius de dades que s’emmagatzemen en els ordinadors dels usuaris quan visiten pàgines web. Aquestes poden emmagatzemar dades com a credencials d’usuari o el comportament en la navegació per la pàgina.
Com bé descriuen des de ayudaley, aquests arxius tenen diverses funcionalitats. Una de les més importants és que permeten a les pàgines web reconéixer als usuaris i emmagatzemar les seues credencials evitant que hagen d’identificar-se en cada accés que realitzen.
Un altre dels usos més comuns d’aquests fitxers és recordar el comportament i els hàbits que tenen els usuaris en la seua navegació, permetent millorar l’experiència d’aquests i adaptar els anuncis a les necessitats d’aquests.
Amb la finalitat de facilitar la incorporació de les cookies a les pàgines web, l’AEPD, ha creat una guia de referència en la qual podem identificar a més els tipus de cookies que existeixen i exemples d’aplicació d’aquestes. Així doncs, l’AEPD divideix les cookies en funció de qui les gestione, que poden ser pròpies o de tercers i, d’altra banda, en funció de la seua finalitat, que poden ser tècniques, de preferències o personalització, anàlisi o mesurament i de publicitat. Finalment, l’AEPD també les divideix en funció del temps que es mantenen, que poden ser de sessió o persistents.
A més, en aquesta guia, i amb la finalitat d’evitar que els organismes puguen ser sancionats, estableix una ajuda sobre quina informació han de facilitar les cookies. Per a això, i basant-se en l’article 22 de la llei LSSI, es defineix que aquests arxius han de facilitar als usuaris informació clara i completa sobre la utilització dels dispositius d’emmagatzematge i recuperació de dades i, en particular, sobre els fins del tractament de les dades.
Hem de tindre en compte que tota aquesta informació emmagatzemada, pot ser vulnerada i aprofitada per atacants cibernètics també. Actualment, existeixen diversos mètodes per a extraure aquests arxius i obtindre informació com a credencials d’usuari o dades personals. Alguns d’aquests, els podem identificar en el blog de esedsl, entre els quals destaquen:
- Sessió sniffing: a través d’un analitzador de paquets, els atacants poden extraure les cookies que formen part del trànsit de xarxa.
- Xarxes Wifi: Amb la connexió a xarxes públiques, es pot analitzar el trànsit i robar cookies dels usuaris.
- Sessió fixation: A través de tècniques com el phishing, es poden enviar enllaços maliciosos i conéixer l’ANEU de sessió de l’usuari.
Incidents ja visibles relacionats amb ciberatacs per cookies els hem poguts veure amb l’alerta d’una campanya de phishing que obté les cookies de sessió per a llançar un atac BEC amb el qual robar diners, així ho informa el periòdic europapress. Per a això, els atacants van establir un punt mitjà entre l’usuari i el servidor destí i van poder interceptar l’inici de sessió de l’usuari, amb el qual van extraure a més la cookie. Amb aquesta, els atacants poden replicar l’inici de sessió.
Finalment, us deixem una sèrie de recomanacions descrites per esedsl:
- Tancar sessió de tots els llocs web
- Eliminar cookies de navegació
- Mantindre els sistemes actualitzats.
- No accedir a enllaços desconeguts.